ISO 22388:2023
(Main)Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for securing physical documents
Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for securing physical documents
This document gives guidance on how to secure physical documents for specifying entities of physical documents. It establishes a procedure for security design, which includes: — risk assessment; — determination of document classes; — introduction of security features; — security evaluation; — document risk mitigation. This document is applicable to secure physical documents that are used for important actions such as validating value transactions, providing access, demonstrating compliance and securing products. This document does not apply to banknotes, machine-readable travel documents, driving licences, postage stamps, tax stamps, health cards or national identity cards covered by existing standards and regulations.
Sécurité et résilience — Authenticité, intégrité et confiance pour les produits et les documents — Lignes directrices visant à sécuriser les documents physiques
Le présent document fournit des recommandations sur la manière de sécuriser les documents physiques pour les entités de spécification de documents physiques. Il établit une procédure de design de sécurité, qui comprend: — l'appréciation des risques; — la détermination des classes de documents; — l'introduction d'éléments de sécurité; — l'évaluation de sécurité; — la réduction des risques liés au document. Le présent document s'applique aux documents physiques sécurisés, utilisés pour des actions importantes comme la validation de transactions de valeur, l'attribution d'accès, la justification de la conformité et la sécurisation de produits. Le présent document ne s'applique pas aux billets de banque, aux documents de voyage lisibles par machine, aux permis de conduire, aux timbres postaux, aux timbres fiscaux, aux cartes relatives aux soins de santé et aux cartes nationales d'identité, qui sont couverts par les normes et réglementations existantes.
General Information
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22388
First edition
2023-11
Security and resilience — Authenticity,
integrity and trust for products and
documents — Guidelines for securing
physical documents
Sécurité et résilience — Authenticité, intégrité et confiance pour les
produits et les documents — Lignes directrices visant à sécuriser les
documents physiques
Reference number
© ISO 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Document security principles . 2
4.1 User’s category . 2
4.2 Document stages . 3
4.3 Elements to be protected . 4
4.4 Considerations for security manufacturing . 4
5 Document security design .5
5.1 General . 5
5.2 Risk assessment for document security . 5
5.2.1 Estimation of risk . 5
5.2.2 Four attack enablers of document fraud . 6
5.2.3 Types of threat. 6
5.2.4 Document-specific risk factors . 7
5.3 Determination of document classes . 7
5.4 Security features . 7
5.4.1 Physical security features — Selection and design . 7
5.4.2 Digital security features . 8
5.5 Developing a risk rating . 9
5.6 Security evaluation . . 10
5.7 Document risk mitigation . 11
Annex A (informative) Risk assessment for security documents .12
Annex B (informative) Rating system for security controls .19
Annex C (informative) Rating criteria for security features .22
Annex D (informative) Categorization of security features by authentication level and
associated method .29
Annex E (informative) Glossary of document security technologies.30
Bibliography .36
iii
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO document should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
ISO draws attention to the possibility that the implementation of this document may involve the use
of (a) patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed
patent rights in respect thereof. As of the date of publication of this document, ISO had not received
notice of (a) patent(s) which may be required to implement this document. However, implementers are
cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents. ISO shall not be held responsible for identifying any or all
such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
Introduction
Documents perform key functions in economic, legal and social transactions, including but not limited
to financial interactions, ownership titles, title transfers, transportation, identity verification, customs
transactions, academic records, professional licences and gun permits. These roles make them a target
for counterfeiting, alteration and other forms of fraud, thereby potentially reducing the reliability of
such transactions and creating economic, human and social hazards.
This document is intended to support the review of physical documents used in all kinds of usage
contexts and to enable evaluation of physical document designation. Such evaluation also involves
assessment to determine risk levels from the most common forms of attack, with consideration of the
type and number of security features to be incorporated into documents for authentication. Based
on such review and evaluation, these guidelines are expected to serve as guidelines for securing all
designated security documents (SDs).
It is important to consider the usage of physical documents for threat and risk assessment and for
determining their classification. Common documents can carry a high level of risk when used for critical
functions. These guidelines assist in performing risk assessment for various document categories, but
they are not intended to identify all potential uses of the documents.
This document is intended to support users and producers in determining security recommendations
for documents produced or procured, to establish a relative classification of their documents and to
enhance the reliability of transactions supported by such documents.
It should be acknowledged that these guidelines provide guidance on common risks, threats and
mitigation treatments at the time of publication. As the security risks to physical documents are
constantly changing, so are the mitigating security technologies. Therefore, it is important that users
of these guidelines recognize that the risk and mitigation rates are relative and can change based upon
a change in risk and the evolution of security technologies to mitigate that risk. It is recommended that
the user of these guidelines understands the concepts used in developing a security risk assessment
and performs an evaluation of any appropriate newly developed security technologies to establish the
most effective solution.
Examples of risks that are not addressed in this document:
— technical risks arising, for example, when applicable security tools are applied improperly;
— management risks relating to document examination from inadequate or no supervision, or lack of
training of personnel assigned to examine documents;
— organizational risks, including illegal collection of data from examined documents or insiders who
deliberately overlook counterfeit documents in exchange for economic gain or as a part of a criminal
enterprise [e.g. security staff allowing under-age entry based on counterfeit identification (ID),
internal fraud at licensing agencies where personnel consciously overlook counterfeit ID to issue
valid ID];
— external risks meaning impacts outside the control of affected organizations (e.g. power outages or
short-term equipment failure);
— compliance risks occurring when a company fails to comply with mandated laws or regulations,
which can result in fines or legal actions.
This document has been developed on the basis of concepts and methodologies adapted from
Reference [7].
v
INTERNATIONAL STANDARD ISO 22388:2023(E)
Security and resilience — Authenticity, integrity and trust
for products and documents — Guidelines for securing
physical documents
1 Scope
This document gives guidance on how to secure physical documents for specifying entities of physical
documents. It establishes a procedure for security design, which includes:
— risk assessment;
— determination of document classes;
— introduction of security features;
— security evaluation;
— document risk mitigation.
This document is applicable to secure physical documents that are used for important actions such as
validating value transactions, providing access, demonstrating compliance and securing products.
This document does not apply to banknotes, machine-readable travel documents, driving licences,
postage stamps, tax stamps, health cards or national identity cards covered by existing standards and
regulations.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
document fraud
wrongful or criminal deception that utilizes security documents (3.4) for financial or personal gain
Note 1 to entry: Fraud means wrongful or criminal deception intended to result in financial or personal gain that
creates social or economic harm.
Note 2 to entry: Fraud includes false use that does not necessarily involve the recreation of documents (e.g. an
impostor, using someone else's ID for impersonation).
Note 3 to entry: Fraud related to digitally transmitted electronic media should be considered separately.
3.2
risk communication
exchange or sharing of information about risk between an issuer and other interested parties
Note 1 to entry: The information can relate to the existence, nature, form, probability, severity, acceptability,
treatment or other aspects of risk.
[SOURCE: ISO 22300:2021, 3.1.220, modified — Definition revised.]
3.3
forensic
application of scientific methodologies for authenticating documents by
confirming a security feature (3.6) or an intrinsic attribute through the use of specialized equipment by
a skilled expert with special knowledge
3.4
security document
SD
document protected by a combination of features selected to mitigate the risk of counterfeit
3.5
specifying entity
person or organization who defines the requirements for authentication solution to be applied to a
particular security document (3.4)
3.6
security feature
feature of a document that is linked to a specific method of verification and thus helps ensure the
document’s integrity and/or authenticity as a properly issued document, including that it has not been
tampered with
[SOURCE: ISO/IEC 18013-1:2018, 3.27]
3.7
blank document
document ready to personalize after uniformed background printing on the substrate
Note 1 to entry: Background printing often includes security features (3.6).
4 Document security principles
4.1 User’s category
In relation to the document authentication, potential users are categorized as follows:
— General: SD holders and third-party related users performing document processing.
— Specific: counter staff, document checkers and others providing prescribed services, with true-false
check, based on issuer-defined document functions.
— Authorities and experts: parties setting SD specifications, staff at official investigative and analytical
organizations with verification expertise, and other inspectors with deep knowledge of security
specifications.
The specifying entity should specify document security considering the user resources shown in
Table 1. See also Table D.1.
Table 1 — Users and resources
Resources
Users
Time available for Expertise or training Access to inspection tools
a
inspection
General Limited Limited or none Limited or none
Specific Medium Medium Medium
Authorities
Extensive Extensive Extensive
and experts
a
For a correct inspection, the inspection time required should match the user availability.
4.2 Document stages
The specifying entity should use the following stages when describing the life cycle of an SD, see also
Figure 1:
— Security design, which is the incorporation of security measures against various types of document
fraud that threaten each process in the document life cycle. This process includes review and
improvement of document security.
— Blank document production, which includes the implementation of specifications related to design
and the overall manufacturing process, including the acquisition of raw materials, production,
quality checking, testing, storage and, operationally, transportation to a personalization entity.
— Personalization, which incorporates the integration of variable content such as monetary values,
personal qualification information and credentials for certification elements on blank documents
as required by the issuer.
— Issuance, which is the act of delivering an SD to a validated entity.
NOTE Delivery involves the secure transportation of the SDs to the intended entity.
— Service lifetime, which is the length of time the document maintains its document function, including
its security effectiveness.
— Revocation, which is the intentional discontinuation and disposal of SDs by an authorized entity.
Documents are subjected to physical processes, such as stringent disposal to prevent reuse, printing,
perforation and other acts, thereby ensuring discontinuation.
Figure 1 — Document linear progression stages
4.3 Elements to be protected
The specifying entity should protect the following from various threats:
— SDs (during all life cycles): SDs should be highly resistant to counterfeiting and should be verifiable.
Official copies of SDs produced by photocopying or other means should be clearly marked as such.
— Manufacturing processes, including production, personalization and issuing processes.
— Integrity of recorded information: information recorded on SDs and related security features
should remain in the original state provided by the issuer supported by the appropriate anti-
counterfeiting or tampering features, which requires physical and chemical resistance. The counter
measures should enable detection of fraudulent alterations such as data deletion, modification and
overwriting.
Personalization impacts privacy; accordingly, designers and developers should apply the requirements
of ISO 31700-1. Privacy protection is a matter of regulation in many jurisdictions.
4.4 Considerations for security manufacturing
The specifying entity should consider the following when designing and manufacturing SDs and in the
setting of security features:
— Materials: composition, formulation and manufacture of raw materials used for security features
should be securely controlled and materials should not be readily available to those attempting to
fraud.
— Manufacturing machinery: devices used to provide and produce security features should be securely
controlled and should not be readily available.
— Production methods: methods for the production of security features should be securely controlled.
NOTE 1 ISO 14298 provides guidance on the specifying entity for the management of security processes
such as manufacture, storage, distribution and accountability.
— Principles: the principles, mechanisms and specifications of security features should be maintained
in a secure and confidential manner.
— Quality stability: variances in quality among SDs at the time of security feature implementation and
production should be minimized to prevent false counterfeit identification.
— Durability: SD authentication should be possible regardless of changes in appearance through use
and aging (including individual differences present at the time of production).
NOTE 2 Securely controlled means materials and processes are controlled under accepted security
practices such as ISO 14298 and Reference [8], or equivalent accepted security industry practices.
5 Document security design
5.1 General
The specifying entity should follow the security design procedure outlined in Figure 2 to manage risk
associated with misuse or fraud aligned to ISO 31000 when developing the specification for SDs.
Figure 2 — Security design procedures
5.2 Risk assessment for document security
5.2.1 Estimation of risk
The specifying entity may perform a risk assessment on a document when an initial review indicates
the possibility of fraud or misuse and the potential impacts if sources of risk are not mitigated. Where
possible, the risk assessment methodology should draw on quantitative data and, where there are
degrees of uncertainty, recognize qualitative estimation as a guide for the assessment and be performed
in consideration of:
— four modes of document fraud;
— intention and capability of known or potential threat actors;
— specific risk factors derived from document purpose, use, distribution and validity period.
NOTE An example of risk rate estimation for a general SD is provided in Annex A.
5.2.2 Four attack enablers of document fraud
Document fraud is generally divided into the following four modes of attack:
— Cloning: reproduction of original including security features employing the same base components
and manufacturing techniques as the original. In this scenario, a party unauthorized to issue the
document uses materials equivalent to or similar to the genuine versions, imitates the internal
structure and creates a counterfeit with an appearance and characteristics similar to the original.
Cloning is usually based on reverse engineering.
— Facsimile: an unauthorized reproduction of the original, including security features made with base
components and manufacturing techniques different from those of the original version, but with an
appearance being able to mislead the inspector. The internal structure and characteristics are not
necessarily similar to those of the original.
— Alteration: changes made to a legitimate item, including deletion and insertion, replacement of
genuine content and illegal rewriting of printed information or patterns.
— Theft or public acquisition (PA): the ability to readily obtain original security features by illicit or
legitimate means.
NOTE Theft or PA is a protective security measure for physical handling control of the environment,
which is not a characteristic of the document but rather an enabler of fraud.
5.2.3 Types of threat
One or more threats occur when a threat actor chooses to attack the document to gain advantage or
reward. The success of such an attack is predicated on the threat actor having the intent and capability
to cause harm. A potential attack can come from individuals or organized groups of varying size and
can include:
— issue-motivated activist organizations;
— politically motivated groups or states;
— criminal organizations;
— opportunists or individuals seeking gain;
— insiders.
A threat actor’s intent (motives and objectives) can be multiple or overlap (e.g. a terrorist group seeking
both political or national advantage and conducting fraud to finance their operations). Intent can be
driven by a range of motivations, including:
— revenge;
— financial gain;
— political advantage;
— reputation of threat actor or victim.
5.2.4 Document-specific risk factors
The following factors affect document risk:
— Frequency of usage: risk depends significantly on how often documents are used.
— Availability: vulnerability and threat depend significantly on whether the documents are accessible
and how they are distributed.
— Validity period: risk increases throughout service lifetime.
— Credibility: documents issued by a reputable organization and representing a high perception value
can increase the risk of fraud.
— Third-party authentication: verification should be conducted by authorized, trained individuals
with the appropriate tools.
5.3 Determination of document classes
The specifying entity should determine the document class of the document:
— high-risk document;
— moderate-risk document;
— low-risk document.
Classes of documents with similar functions provided by different issuers should be uniform to ensure
risk communication among interested parties concerning document security. Table 2 includes examples
of documents belonging to each class.
Table 2 — Document classes and examples
Document class Examples
Access to secure or critical resources (security access), important privileges, nego-
High-risk document
tiable instruments
Security-control access documents, certificates of title, certificates of origin, nego-
Moderate-risk document tiable documents of moderate value, identity credentials, gun permits, professional
licences
Low-value event tickets, loyalty cards, temporary identity documents, low- or medi-
Low-risk document
um-value product coupons, gift cards, non-security access documentation
5.4 Security features
5.4.1 Physical security features — Selection and design
The specifying entity should use security features to mitigate the risk of typical document fraud types
such as cloning, facsimile, alteration and theft or PA. Security features are categorized as, for example,
substrates, printing, inks or personalization, as shown in Annex C. Definitions for each security
feature are also provided in Annex E and Reference [7]. The specifying entity should fully consider
authentication levels as described in Annex D. It is also important to evaluate resistance against each
fraud type and the resources, such as authentication equipment, time and people expertise required.
The process diagram that should be used as a further reference when designing the authentication
solution is provided in ISO 22383:2020, Figure 2.
The efficiency of the selected security feature depends on several elements that should be taken into
account when devising the performance criteria for a secure document. These include but are not
limited to the purpose of the document, the number of security features used, the quality of the security
feature(s), the quality of the implementation of the feature(s) and the expertise of verification.
Therefore, the specifying entity should make these aspects part of the contractual agreement. A quality
indication can be the certification of either the supplier or printer or both according to ISO 14298 or
Reference [8]. In any case, it is recommended that a knowledgeable document security expert assists in
the selection and use of the features for the specific document.
5.4.2 Digital security features
5.4.2.1 General
The specifying entity should be aware that digital and physical security features can be advantageously
combined together on the same document to provide a highly effective resilience capacity document.
Information can concern data derived from the physical layer as well as the information related to
digitally generated features and/or personalization data.
5.4.2.2 Physical-digital features
The specifying entity should consider that physical documents can also be secured digitally. This is
achieved by deriving data from a physical feature of the document. Such a derivation creates an
association which can be used effectively to evaluate the relationship between a physical document and
a corresponding digital representation.
There are two different categories of digital protection for physical documents that depend on how the
data set and physical features of the document are related, as follows:
— Protection via the physical layer of the document: a set of data is derived from one or more naturally
occurring distinguishing characteristics of the document.
— Protection via digitally generated features: a set of data is combined with the document in some
way (e.g. printed or embedded) at the time of its manufacture. This can be covert or overt.
NOTE The term “phygital” can be used to indicate technologies (including security features) that link a
digital entity to its physical counterpart.
5.4.2.3 Data integrity check
The specifying entity should consider that the data set present on the document can be protected from
alteration using a data integrity check. A data set is generated by processing information derived from
the document or its personalization in a way that these data can be checked against a digital signature
or digital seal.
Data corresponding to the information on the document can be included as a personalized mark [e.g.
a two-dimensional (2D) barcode, radio-frequency identification (RFID) chip], including or related
to a digital signature or linked to an immutable data record (such as, but not limited to, blockchain
solutions). Due to this immutability, the data are protected against modification. Any alteration of
the data (including information concerning the authoritative source) can be detected by the reading
devices.
Such digitally secured documents with protected data can be copied; however, any modification can be
easily detected. Thus, each digitally secured copy of the document can act as an original.
The name or reference of the issuer of the document is often included in the digital seal, allowing the
reader to authenticate and verify the legitimacy of the issuer.
These digital security features can be combined together on the same document, for example it is
possible to include any information concerning the authentication data of the physical layer and hidden
digitally generated features within the digital seal. Such combined data can be captured, encrypted and
stored as distributed ledger technology or related to a digital signature.
5.5 Developing a risk rating
It is possible to use a model risk assessment process as a representational rating tool to provide an
indicative risk rating based on the relationship between:
— the intentions and capabilities of a threat actor;
— the vulnerabilities of a document and any factors from proposed use;
— the likelihood of an attack occurring;
— the degree impact or consequences if an attack were to occur.
Analysis of these relationships provides an estimate of the level of risk of a positive or negative outcome.
Figure 3 summarizes the process of the evaluation of the risk levels.
Figure 3 — Evaluation of the risk levels
The specifying entity should determine a level for the resistance of security features for each of the
four attack modes in order to establish the appropriate set of security features for the corresponding
document class. Figure 4 explains the process that should be used to determine a proper set of security
features in order to ensure a good protection of the document, well adapted to the document class.
Figure 4 — Security design process
The recommended minimum security (RMS) rates are the overall resistance by attack mode of
selected security features that should be implemented in a given document. The specifying entity and
the manufacturer should fully agree on the RMS rates with reference to the results of the risk rating.
Examples of a selection of security features and RMS rates are given in Annex B.
Annex C provides an example of rating criteria for security features, the process and rates by attack
mode for each of the categorized security features. The specifying entity should use Annex C as
a reference for rating the emerging technologies that are not on the list or for features with special
resistance to some attack type.
Resistance provided by security features is a function of the application of controls to reduce
vulnerability. This rating should be either a qualitative rating from estimation or a semi-quantified
rating derived from testing the level of protection of the types of controls from attack. Such security
ratings should be considered against the likelihood and impact of an attack by one or more of the attack
modes. Where the control, alone or in combination, provides reduction of risk to an acceptable level, the
control should be adopted. See the examples given in Annex B.
5.6 Security evaluation
In addition to the specifying entity, multiple parties with relevant expertise in security evaluation and
analysis or judgement should evaluate how the completed SDs (including prototypes and security design
plans) conform to various security performance criteria. This should include an adversarial testing
process based on estimated counterfeiting resources such as person-hours, equipment, materials and
counterfeiting expertise considering various document fraud types. Results should be shared with
issuers as appropriate to establish risk communication.
Security considerations should include the following:
— Layering of technologies: a technique in which single security features can incorporate a combination
of overt, covert and forensic authentication capabilities.
— Complementary implementation: the use of multiple technologies to achieve a degree of mitigation
greater than the individual technologies.
— Multi-modal methods: embossing, laser processing, pressure bonding (e.g. lamination, foil pressing)
and other techniques, in addition to production with printing techniques based on inks and form
plates.
5.7 Document risk mitigation
The security specifications based on this document are intended to mitigate the counterfeit risk to the
SD. Since it is difficult to predict the emerging types of document fraud that can reduce the reliability of
SDs, specifying entities should take appropriate actions guided by their risk analysis, such as updating
each security feature and renewing the security design of the document.
Annex A
(informative)
Risk assessment for security documents
A.1 General
When developing an SD or physical document, the specifying entity should identify the associated risks,
utilizing their organization’s risk framework (described in this annex for reference) and the attack
enablers in this document to determine the document class and then select appropriate treatments or
controls to minimize the risk to an acceptable level. This annex provides guidance to the application
of risk assessment methodologies and is derived from the process model in ISO 31000 outlined in
Clause A.2 and Figure A.1. Each element of the process should be addressed effectively to manage
document risk and the outline given in Clause A.2 should be expanded for the specific document context.
The matrix examples provided in this annex are not directly related to the assessment established in
this document and are demonstrated as examples of the methodology.
Some of these elements, such as organizational operating environment, organizational management
and assets, risk criteria and records policy, should already be done as part of the specifying entity’s risk
framework and are not specific elements for each document. Also, what the specifying entity identifies
under their risk framework does not necessarily reflect the consumers expectations or criteria, for
example tolerance and appetite levels.
Figure A.1 — ISO 31000 risk management process element
A.2 Process model in ISO 31000
A.2.1 General
The outline of the process model in ISO 31000 is as follows:
— Scope:
— security applications to achieve document objectives;
— governance, policy and processes.
— Context:
— organizational operating environment;
— organizational management;
— the organization’s assets;
— validation of internal and external interested parties.
— Risk criteria:
— determination of agreed levels of risk acceptance and tolerance.
— Communication and consultation:
— communications strategy;
— client and interested party requirements;
— privacy;
— confidentiality;
— sources of validation;
— process guidance;
— roles;
— information access and use.
— Document recording and reporting:
— records policy;
— records management system;
— access to documentation;
— reporting channels.
— Document monitoring and review:
— accountability;
— responsibility;
— consistency;
— audit;
— assurance;
— policy and process review.
A.2.2 Document risk assessment and treatment
The processes that the specifying entity should apply when assessing document risk and identifying
risk treatments.
A.2.3 Risk identification and evaluation
In identifying and evaluating risks, the specifying entity should consider:
— the value and criticality of sensitive or valuable documents;
— vulnerability of documents and sources of threat;
— the likelihood and the potential for risks to occur.
A.2.4 Risk analysis
In analysing risks, the organization should include:
— impact analysis of harm to, or compromise of, sensitive or valuable assets, including in relation to:
— economic or financial (e.g. impact on operating budget);
— legal and regulatory (e.g. non-compliance with legislation, commercial confidentiality, legal
privilege);
— personal (e.g. impact on the personal safety, dignity, finances, liberty or the identity of a person
or persons);
— service delivery (e.g. capacity to operate, deliver services or programmes, reputation, confidence
and utilization of services);
— level of certainty in relation to the credibility and timeliness of the available information;
— volatility or rate of change in these variables.
A.3 Semiquantitative risk assessment
A.3.1 General
This annex further provides an example of the application of a semiquantitative risk assessment for an
SD derived from quantitative data and allocation of a representational rate to qualitative information.
It assumes four attack modes by five threat actor types while considering the document-specific risks
assumed in the operation, such as frequency of usage or, validity period.
All the rates indicated in the various tables in this annex result from semiquantitative risk analysis,
which is a risk analysis methodology characterized by speed, simplicity of design, a lower requirement
on the input data and smaller demands on the resources, including some degree of quantification of
consequence, likelihood and/or risk level.
In order to produce an indicative rate for risk, the following factors should be considered:
— intentions and capability of the threat actor;
— vulnerability of the document prior to treatment;
— opportunity for attack;
— impact of an attack should it be successful, and likelihood that such an attack will occur.
This can be represented in a process model where the risk equation is considered from two perspectives
of risk management, achieving objectives and avoiding failure, and can be summarized by the following
models, noting that any risk accepted can have a blend of positive and negative outcomes:
— risk: likelihood for a beneficial outcome is a function (⊨) of the interaction (ʌ) of capability and
circumstances or opportunity;
— risk: likelihood for a negative outcome is a function of (⊨) of the interaction (ʌ) of vulnerability and
threat or hazard.
NOTE Any of the variables can be modified by application of relevant controls to mitigate the likelihood
of a negative outcome.
In generating representative rates for risk, Tables A.1 to A.4 show the application of the matrix approach.
They use a five by five matrix, which allows for a distribution of rates on an arithmetic sequence, since
there is a common difference between each term. In this case, adding 1 to the previous term in the
sequence gives the next term. In other words, a = a + (n − 1) d, with an arithmetic sequence of d = 1.
n 1
This is the formula of a single unit arithmetic sequence. This approach avoids a misleading exponential
scale in rating with sufficient differentiation to provide representative difference when considering
both the threat levels in Table A.1 and the risk levels in Table A.4.
A.3.2 Threat matrix
A threat matrix may be used to generate a representative rate for the convergence of intentions of
an attack and their capability to exercise the threat. For example, a threat actor with a low rate on
intention (2) and a medium rate on capability (3) will rate 4 for threat, and an actor with a high rate on
intention (4) and a high rate on capability (4) will rate 7, see Table A.1. The rating on the matrix can be
colour coded to illustrate the threat levels, see Table A.2.
Table A.1 — Threat matrix example
Capability
Intention
Negligible – 1 Low – 2 Medium – 3 High – 4 Very high – 5
Very high – 5 5 6 7 8 9
High – 4 4 5 6 7 8
Medium – 3 3 4 5 6 7
Low – 2 2 3 4 5 6
Negligible – 1 1 2 3 4 5
Table A.2 — Threat matrix colour-coded example
Capability
Intention
Negligible – 1 Low – 2 Medium – 3 High – 4 Very high – 5
Very high – 5 5 6 7 8 9
High – 4 4 5 6 7 8
Medium – 3 3 4 5 6 7
Low – 2 2 3 4 5 6
Negligible – 1 1 2 3 4 5
A.3.3 Likelihood model
The likelihood of an event is derived from the estimated percentage of potential occurrence and its
chance of success. Table A.3 provides the rating model. On the basis of observation, a representative
rate can be estimated and used in combination with the threat rate to populate a risk matrix. When a
control is allocated to decrease vulnerability or reduce the threat it will cause variation to the likelihood
rate.
Table A.3 — Likelihood model
Intention Representative rate Expected or actual frequency
Very high – 5 5 Can be expected to occur in most circumstances
Will probably occur in most circumstances: 50 % to 75 % chance of
High – 4 4
occurring
Medium – 3 3 Can occur: 25 % to 50 % chance of occurring
Low – 2 2 Can occur sometimes: 25 % chance of occurring
Negligible – 1 1 Can only occur in exceptional
...
NORME ISO
INTERNATIONALE 22388
Première édition
2023-11
Sécurité et résilience — Authenticité,
intégrité et confiance pour les
produits et les documents — Lignes
directrices visant à sécuriser les
documents physiques
Security and resilience — Authenticity, integrity and trust for
products and documents — Guidelines for securing physical
documents
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Principes de sécurité des documents . 3
4.1 Catégories d'utilisateurs . 3
4.2 Stades des documents . 3
4.3 Éléments à protéger . 4
4.4 Considérations concernant la fabrication sécurisée . 5
5 Design de sécurité des documents . 5
5.1 Généralités . 5
5.2 Appréciation du risque pour la sécurité des documents . 6
5.2.1 Estimation du risque. 6
5.2.2 Quatre facteurs d'attaque pour la fraude documentaire. 6
5.2.3 Types de menaces . 7
5.2.4 Facteurs de risques spécifiques aux documents . 7
5.3 Détermination des classes de documents . 7
5.4 Éléments de sécurité . 8
5.4.1 Éléments de sécurité matérielle — Choix et conception . 8
5.4.2 Éléments de sécurité numériques . 8
5.5 Élaboration d'une évaluation du risque . 9
5.6 Évaluation de la sécurité . 11
5.7 Réduction des risques liés au document.12
Annexe A (informative) Appréciation du risque pour les documents de sécurité .13
Annexe B (informative) Système de cotation des contrôles de sécurité .20
Annexe C (informative) Critères de cotation des éléments de sécurité .24
Annexe D (informative) Typologie des éléments de sécurité par niveau d'authentification
et méthode associée .32
Annexe E (informative) Glossaire des technologies de sécurité des documents .33
Bibliographie .39
iii
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document
a été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L'ISO attire l'attention sur le fait que la mise en application du présent document peut entraîner
l'utilisation d'un ou de plusieurs brevets. L'ISO ne prend pas position quant à la preuve, à la validité et
à l'applicabilité de tout droit de propriété revendiqué à cet égard. À la date de publication du présent
document, l'ISO n'avait pas reçu notification qu'un ou plusieurs brevets pouvaient être nécessaires à sa
mise en application. Toutefois, il y a lieu d'avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié tout ou partie de tels droits de brevet.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www.iso.org/fr/members.html.
iv
Introduction
Les documents ont un rôle essentiel dans les transactions économiques, légales et sociales, notamment
sans toutefois s'y limiter, les transactions financières, les titres de propriété, les transferts de titres,
le transport, la vérification d'identité, les opérations douanières, les dossiers scolaires, les licences
professionnelles et les permis de port d'arme. En raison de ces rôles, ils sont la cible de la contrefaçon,
de la falsification et d'autres formes de fraude, ce qui réduit potentiellement la fiabilité des dites
transactions et crée des dangers sur le plan économique, humain et social.
Le présent document est destiné à faciliter la vérification des documents physiques dans tous les
contextes d'utilisation et à permettre d'évaluer la désignation des documents physiques. Cette
évaluation implique aussi une appréciation visant à déterminer les niveaux de risque concernant les
formes d'attaques les plus courantes, ainsi que le type et le nombre d'éléments de sécurité à incorporer
dans les documents aux fins de leur authentification. En fonction de ces vérifications et de ces
évaluations, il est prévu que les présentes lignes directrices servent de guide pour la sécurisation de
tous les documents de sécurité (DS) désignés.
Il est important de tenir compte de l'utilisation des documents physiques dans l'appréciation des risques
et des menaces, ainsi que pour déterminer la classification correspondante. Les documents courants
peuvent être associés à un haut niveau de risque lorsqu'ils sont utilisés pour des fonctions critiques. Les
présentes lignes directrices facilitent l'appréciation des risques pour diverses catégories de documents,
mais elles n'ont pas pour objet d'identifier toutes les utilisations potentielles des documents.
Le présent document a pour objet d'aider les utilisateurs et les producteurs à déterminer les
recommandations de sécurité associées aux documents produits ou fournis, à établir une classification
relative de leurs documents et à renforcer la fiabilité des transactions justifiées par lesdits documents.
Il convient de reconnaître que les présentes lignes directrices fournissent des recommandations
concernant les risques et menaces courants et les mesures de réduction au moment de leur publication.
Les risques liés à la sécurité des documents physiques étant en constant changement, les technologies
de sécurité visant à les atténuer le sont aussi. Pour cette raison, il est important que les utilisateurs des
présentes lignes directrices reconnaissent que les notations de risque et de réduction sont relatives
et qu'elles peuvent varier selon les changements concernant les risques et l'évolution des technologies
de sécurité visant à atténuer ces risques. Il est recommandé aux utilisateurs des présentes lignes
directrices de comprendre les concepts utilisés dans la mise au point d'une appréciation des risques
liés à la sécurité et d'évaluer toutes les technologies de sécurité appropriées fraîchement mises au point
pour déterminer quelle solution est la plus efficace.
Exemples de risques non couverts dans le présent document:
— risques techniques issus, par exemple, d'une utilisation incorrecte des outils de sécurité applicables;
— risques pour la gestion associés à la vérification des documents sous une surveillance inadaptée ou
sans surveillance, ou au manque de formation du personnel assigné à l'examen des documents;
— risques organisationnels, notamment la collecte illégale de données provenant des documents
examinés, ou l'acceptation de documents contrefaits par des acteurs internes en échange d'un gain
économique ou dans le cadre d'une entreprise criminelle (par exemple, des agents de sécurité qui
laissent entrer des clients en dessous de l'âge légal sur présentation d'une fausse carte d'identité, une
fraude interne au sein d'un organisme de réglementation professionnelle, où le personnel accepte
délibérément de faux papiers d'identité pour produire des papiers d'identité valides);
— risques externes, c'est-à-dire que les impacts sont en dehors du contrôle des organismes touchés
(par exemple, coupures d'électricité ou panne des équipements à court terme);
— risques concernant la conformité lorsqu'une entreprise ne respecte pas les lois ou les réglementations
prescrites, ce qui peut aboutir à des amendes ou à des actions en justice.
Le présent document a été élaboré sur la base de concepts et de méthodologies adaptées de la
Référence [7].
v
NORME INTERNATIONALE ISO 22388:2023(F)
Sécurité et résilience — Authenticité, intégrité et confiance
pour les produits et les documents — Lignes directrices
visant à sécuriser les documents physiques
1 Domaine d'application
Le présent document fournit des recommandations sur la manière de sécuriser les documents physiques
pour les entités de spécification de documents physiques. Il établit une procédure de design de sécurité,
qui comprend:
— l'appréciation des risques;
— la détermination des classes de documents;
— l'introduction d'éléments de sécurité;
— l'évaluation de sécurité;
— la réduction des risques liés au document.
Le présent document s'applique aux documents physiques sécurisés, utilisés pour des actions
importantes comme la validation de transactions de valeur, l'attribution d'accès, la justification de la
conformité et la sécurisation de produits.
Le présent document ne s'applique pas aux billets de banque, aux documents de voyage lisibles par
machine, aux permis de conduire, aux timbres postaux, aux timbres fiscaux, aux cartes relatives aux
soins de santé et aux cartes nationales d'identité, qui sont couverts par les normes et réglementations
existantes.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO 22300 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
fraude documentaire
tromperie illicite ou criminelle qui utilise des documents de sécurité (3.4) pour un gain financier ou
personnel
Note 1 à l'article: La fraude désigne une tromperie illicite ou criminelle destinée à générer un gain financier ou
personnel qui crée un préjudice social ou économique.
Note 2 à l'article: La fraude comprend les usages frauduleux qui n'impliquent pas nécessairement la régénération
de documents (par exemple, un imposteur qui utilise les papiers d'identité d'une autre personne pour usurper
son identité).
Note 3 à l'article: Il convient de considérer séparément la fraude liée aux systèmes électroniques à transmission
numérique.
3.2
communication sur le risque
échange ou partage d'informations sur les risques entre un émetteur et d'autres parties intéressées
Note 1 à l'article: Ces informations peuvent concerner l'existence, la nature, la forme, la probabilité, la gravité,
l'acceptabilité, le traitement, ou d'autres aspects liés au risque.
[SOURCE: ISO 22300:2021, 3.1.220, modifié — Définition révisée.]
3.3
d'investigation (en anglais: forensic)
application de méthodes scientifiques permettant d'authentifier des documents
en confirmant un élément de sécurité (3.6) ou un attribut intrinsèque, via l'emploi d'un appareillage
spécialisé par un expert qualifié ayant des connaissances particulières
3.4
document de sécurité
DS
document protégé par une combinaison d'éléments choisis pour réduire le risque de contrefaçon
3.5
entité de spécification
personne ou organisme qui définit les exigences relatives à la solution d'authentification devant être
appliquée à un document de sécurité (3.4) particulier
3.6
élément de sécurité
élément d'un document qui est associé à une méthode de vérification spécifique et permet ainsi de
s'assurer de l'intégrité du document et/ou de son authenticité en tant que document émis en bonne et
due forme, notamment le fait qu'il n'ait pas fait l'objet d'une effraction
[SOURCE: ISO/IEC 18013-1:2018, 3.27]
3.7
document vierge
document prêt à être personnalisé après l'impression du fond de protection uniformisé sur le substrat
Note 1 à l'article: Le fond de protection inclut souvent des éléments de sécurité (3.6).
4 Principes de sécurité des documents
4.1 Catégories d'utilisateurs
Dans le cadre de l'authentification des documents, les utilisateurs potentiels sont classés comme suit:
— généralités: détenteurs de DS et utilisateurs associés à des tiers qui procèdent au traitement des
documents;
— spécifiques: guichetiers, vérificateurs de documents et autres personnes fournissant des services
prescrits, avec vérification «vrai-faux», sur la base des fonctions des documents définies par
l'émetteur;
— autorités et experts: parties qui déterminent les spécifications des DS, personnel des organismes
officiels d'investigation et d'analyse ayant une expertise en matière de vérification, et autres
contrôleurs ayant une connaissance approfondie des spécifications de sécurité.
Il convient que l'entité de spécification tienne compte des ressources des utilisateurs présentées dans le
Tableau 1 pour spécifier la sécurité des documents. Voir également le Tableau D.1.
Tableau 1 — Utilisateurs et ressources
Ressources
Utilisateurs
Temps disponible Expertise ou Accès aux outils
a
pour l'inspection formation d'inspection
Généraux Limité Limité ou aucun Limité ou aucun
Spécifiques Moyen Moyen Moyen
Autorités et
Étendu Étendu Étendu
experts
a
Pour que l'inspection soit correcte, il convient que le temps d'inspection nécessaire corresponde à la
disponibilité de l'utilisateur.
4.2 Stades des documents
Il convient que l'entité de spécification utilise les stades suivants pour décrire le cycle de vie d'un DS,
voir également la Figure 1:
— le design de sécurité, qui consiste en l'intégration de mesures de sécurité contre diverses fraudes
documentaires qui menacent chaque procédure pendant la durée de vie du document. Cette
démarche comprend l'examen et l'amélioration de la sécurité du document;
— la production de documents vierges, qui comprend la mise en œuvre des spécifications relatives à la
conception et au processus de fabrication global, notamment l'acquisition de matières premières, la
production, le contrôle de la qualité, les essais, le stockage et le transport de manière opérationnelle
vers l'entité de personnalisation;
— la personnalisation, qui comprend l'intégration de contenus variables comme des valeurs monétaires,
des informations sur la qualification personnelle et des références concernant les éléments de
certification figurant sur les documents vierges, selon les exigences de l'émetteur;
— l'émission, qui désigne le fait de délivrer un DS à une entité validée;
NOTE La délivrance implique le transport sécurisé du DS jusqu'à l'entité prévue.
— la durée de vie utile, qui correspond à la durée pendant laquelle le document conserve sa fonction
documentaire, notamment son efficacité en matière de sécurité;
— la révocation, qui désigne l'abandon et la suspension volontaires des DS par une entité autorisée.
Les documents sont soumis à des procédures physiques, comme le strict abandon pour éviter la
réutilisation, l'impression, la perforation et d'autres actes, afin d'assurer l'abandon.
Figure 1 — Progression linéaire des stades d'un document
4.3 Éléments à protéger
Il convient que l'entité de spécification protège les éléments suivants contre diverses menaces:
— DS (pendant tout leur cycle de vie): il convient que les DS soient très résistants vis-à-vis de la
contrefaçon et qu'ils soient vérifiables. Il convient de marquer clairement comme telles les copies
officielles de DS produites par photocopie ou par d'autres moyens;
— processus de fabrication, notamment la production, la personnalisation et l'émission;
— intégrité des informations enregistrées: il convient que les informations enregistrées sur les DS
et les éléments de sécurité associés restent dans leur état d'origine dans lequel ils ont été fournis
par l'émetteur et attestés par les éléments de lutte contre la contrefaçon ou l'effraction appropriés,
lesquels exigent une résistance physique et chimique. Il convient que les contre-mesures permettent
de détecter les falsifications comme la suppression, la modification ou le recouvrement de données.
La personnalisation a une incidence sur la protection de la vie privée; il convient par conséquent que les
concepteurs et les développeurs respectent les exigences de l'ISO 31700-1. La protection de la vie privée
est réglementée dans de nombreuses juridictions.
4.4 Considérations concernant la fabrication sécurisée
Il convient que l'entité de spécification tienne compte des éléments suivants pour concevoir et fabriquer
les DS et pour déterminer les éléments de sécurité:
— matériaux: il convient de contrôler correctement la composition, la formulation et la fabrication
des matières premières utilisées pour les éléments de sécurité, et que les matériaux ne soient pas
facilement disponibles pour ceux qui tentent de frauder;
— machines de fabrication: il convient de contrôler correctement les dispositifs utilisés pour fournir et
pour produire les éléments de sécurité, et qu'ils ne soient pas facilement disponibles;
— méthodes de production: il convient de contrôler correctement les méthodes de production des
éléments de sécurité;
NOTE 1 Des recommandations à l'attention de l'entité de spécification, concernant la gestion des
processus de sécurité comme la fabrication, le stockage, la distribution et l'obligation de rendre des comptes,
sont disponibles dans l'ISO 14298.
— principes: il convient de conserver les principes, les mécanismes et les spécifications des éléments
de sécurité de manière sécurisée et confidentielle;
— stabilité de la qualité: il convient de réduire autant que possible les variations de qualité entre les DS
au moment de la mise en œuvre des éléments de sécurité et de la fabrication, afin d'éviter les fausses
identifications de contrefaçon;
— durabilité: Il convient que l'authentification des DS soit possible indépendamment des changements
d'apparence liés à l'utilisation et au vieillissement (notamment les différences individuelles présentes
au moment de la production).
NOTE 2 «Contrôler correctement» signifie que les matériaux et les processus sont contrôlés selon les
pratiques de sécurité acceptées, par exemple conformément à l'ISO 14298 et à la Référence [8], ou à des
pratiques industrielles de sécurité acceptées équivalentes.
5 Design de sécurité des documents
5.1 Généralités
Il convient que l'entité de spécification suive la procédure de design de sécurité décrite dans la Figure 2,
afin de gérer les risques associés aux utilisations abusives ou à la fraude en s'alignant sur l'ISO 31000
lors de la définition de la spécification concernant les DS.
Figure 2 — Procédures de design de sécurité
5.2 Appréciation du risque pour la sécurité des documents
5.2.1 Estimation du risque
L'entité de spécification peut réaliser une appréciation du risque concernant un document lorsqu'un
examen initial indique la possibilité d'une fraude ou d'une utilisation abusive et que les impacts
possibles, s'ils sont source de risques, ne sont pas atténués. Si possible, il convient de fonder la méthode
d'appréciation du risque sur des données quantitatives et, en présence de certains degrés d'incertitude,
de reconnaître l'estimation qualitative comme un guide pour l'appréciation. Il convient que la méthode
d'appréciation du risque tienne compte:
— des quatre modes de fraude documentaire;
— des intentions et des capacités des auteurs de menace connus ou potentiels;
— des facteurs de risques spécifiques issus de l'objet, de l'utilisation, de la distribution et de la période
de validité du document.
NOTE Un exemple d'estimation de la notation de risque pour un DS général est fourni dans l'Annexe A.
5.2.2 Quatre facteurs d'attaque pour la fraude documentaire
La fraude documentaire est généralement divisée entre les quatre modes d'attaque suivants:
— clonage: reproduction d'un original comprenant des éléments de sécurité qui emploient les mêmes
composants de base et les mêmes techniques de fabrication que l'original. Dans ce scénario, une
partie non autorisée à émettre le document utilise des matériaux équivalents ou semblables aux
versions authentiques, imite la structure interne et crée une contrefaçon dont l'apparence et les
caractéristiques sont similaires à l'original. Le clonage s'appuie habituellement sur la rétro-
ingénierie;
— fac-similé: reproduction non autorisée d'un original avec ses éléments de sécurité, réalisée avec des
composants et des techniques de fabrication de base différents de ceux de la version originale, mais
dont l'apparence est capable de tromper le contrôleur. La structure interne et les caractéristiques
ne sont pas nécessairement similaires à ceux de l'original;
— falsification: modifications apportées à un article légitime, notamment par suppression et insertion,
remplacement du contenu authentique et réécriture illégale d'informations ou de motifs imprimés;
— vol ou acquisition publique (AP): capacité d'obtenir facilement des éléments de sécurité originaux
par des moyens illicites ou légitimes.
NOTE Le vol ou l'AP est un contrôle de l'environnement par manipulation physique à des fins de sûreté
préventive qui ne porte pas sur une caractéristique du document, mais plutôt sur un facteur facilitant la
fraude.
5.2.3 Types de menaces
Une ou plusieurs menaces ont lieu lorsqu'un auteur de menace choisit d'attaquer le document afin
d'obtenir un avantage ou une récompense. Le succès d'une telle attaque repose sur le fait que l'auteur
de menace ait l'intention et la capacité de causer des dommages. Une attaque potentielle peut venir
d'individus ou de groupes organisés de tailles variables et peut inclure:
— des organismes activistes motivés par une cause;
— des États ou des groupes motivés par des raisons politiques;
— des organisations criminelles;
— des opportunistes ou des individus motivés par les gains;
— des acteurs internes.
Les intentions (motifs et objectifs) d'un auteur de menace peuvent être multiples ou se chevaucher (par
exemple, un groupe terroriste recherchant un avantage politique ou national et commettant une fraude
pour financer ses opérations). L'intention peut être associée à diverses motivations, notamment:
— la vengeance;
— les gains financiers;
— l'avantage politique;
— une réputation d'auteur de menaces ou de victime.
5.2.4 Facteurs de risques spécifiques aux documents
Les facteurs suivants ont une incidence sur les risques pour les documents:
— fréquence d'utilisation: le risque dépend significativement du nombre de fois où les documents sont
utilisés;
— disponibilité: la vulnérabilité et la menace dépendent significativement de l'accessibilité et de la
distribution des documents;
— période de validité: le risque augmente tout au long de la durée de vie utile;
— crédibilité: les documents émis par un organisme réputé et associés à une forte valeur perçue
peuvent augmenter le risque de fraude;
— authentification par des tiers: il convient que la vérification soit réalisée par des individus autorisés
et formés disposant des outils appropriés.
5.3 Détermination des classes de documents
Il convient que l'entité de spécification détermine la classe du document:
— document à risque élevé;
— document à risque modéré;
— document à risque faible.
Il convient d'uniformiser les classes de documents qui ont des fonctions similaires et proviennent
de différents émetteurs, afin d'assurer la communication sur le risque entre les parties intéressées
concernant a sécurité du document. Le Tableau 2 contient des exemples de documents appartenant à
chaque classe.
Tableau 2 — Classes de documents et exemples
Classe de documents Exemples
Accès à des ressources sécurisées ou critiques (accès de sécurité), privilèges
Document à risque élevé
importants, actes négociables.
Documents d'accès de sécurité ou contrôlé, certificats relatifs à des titres, certifi-
Document à risque modéré cats d'origine, documents négociables de valeur moyenne, justificatifs d'identité,
permis de port d'arme, licences professionnelles.
Billets pour des événements de faible valeur, cartes de fidélité, documents
Document à risque faible d'identité temporaires, bons de réduction pour des produits de faible valeur ou de
valeur moyenne, cartes-cadeaux, documents d'accès non sécurisé.
5.4 Éléments de sécurité
5.4.1 Éléments de sécurité matérielle — Choix et conception
Il convient que l'entité de spécification utilise des éléments de sécurité pour atténuer les risques de
fraudes documentaires typiques comme le clonage, le fac-similé, la falsification et le vol ou l'acquisition
publique. Les éléments de sécurité sont répartis en catégories telles que les substrats, les impressions,
les encres et la personnalisation, comme cela est indiqué dans l'Annexe C. Les définitions de chaque
élément de sécurité sont également fournies à l'Annexe E et dans la Référence [7]. Il convient que l'entité
de spécification tienne entièrement compte des niveaux d'authentification décrits dans l'Annexe D. Il
est également important d'évaluer la résistance contre chaque type de fraude, ainsi que les ressources
comme les équipements d'authentification, le temps et l'expertise exigés. Le diagramme de processus
qu'il convient d'utiliser comme référence complémentaire lors de la conception de la solution
d'authentification est fourni dans l'ISO 22383:2020, Figure 2.
L'efficacité des éléments de sécurité choisis dépend de plusieurs éléments, qu'il convient de prendre
en compte lors de l'élaboration des critères de performances d'un document sécurisé. Ces éléments
incluent, sans toutefois s'y limiter, l'objet du document, le nombre d'éléments de sécurité utilisés, la
qualité de l'élément ou des éléments de sécurité, la qualité de la mise en œuvre de l'élément ou des
éléments et l'expertise en matière de vérification.
Pour cette raison, il convient que l'entité de spécification inclue ces aspects dans l'accord contractuel.
Une certification provenant du fournisseur ou de l'imprimeur ou des deux, conformément à l'ISO 14298
ou à la Référence [8], est un indicateur de qualité. Dans tous les cas, il est recommandé qu'un expert
en sécurité des documents chevronné aide à choisir et à utiliser les éléments attribués au document
spécifique.
5.4.2 Éléments de sécurité numériques
5.4.2.1 Généralités
Il convient que l'entité de spécification ait conscience que les éléments de sécurité numérique et
matérielle peuvent se combiner avantageusement sur un même document pour fournir un document
aux capacités de résilience très efficaces. Les informations peuvent concerner les données issues de la
couche physique, ainsi que les informations associées aux éléments générés numériquement et/ou les
données de personnalisation.
5.4.2.2 Éléments matériels-numériques
Il convient que l'entité de spécification prenne en compte le fait que les documents physiques peuvent
aussi être sécurisés numériquement. Pour ce faire, les données sont dérivées d'un élément matériel
du document. Cette extraction crée une association qui peut être utilisée efficacement pour évaluer la
relation entre un document physique et la représentation numérique correspondante.
Il existe deux catégories distinctes de protection numérique des documents physiques, qui dépendent
de la manière dont l'ensemble de données et les éléments matériels sont liés, comme suit:
— protection par la couche physique du document: un ensemble de données est extrait d'une ou
plusieurs caractéristiques distinctives naturelles du document;
— protection par des éléments générés numériquement: un ensemble de données est combiné au
document d'une certaine manière (par exemple, imprimé ou intégré) au moment de sa fabrication.
Cette intégration peut être contrôlable avec ou sans outil.
NOTE Le terme «phymérique» peut être utilisé pour désigner les technologies (notamment les éléments
de sécurité) qui associent une entité numérique à son pendant physique.
5.4.2.3 Vérification de l'intégrité des données
Il convient que l'entité de spécification prenne en compte le fait que l'ensemble de données présent dans
le document puisse être protégé contre la falsification au moyen d'une vérification de l'intégrité des
données. Un ensemble de données est généré par le traitement des informations issues du document ou
de sa personnalisation, de telle manière que ces données puissent être vérifiées par comparaison à une
signature numérique ou à un sceau numérique.
Des données correspondant aux informations du document peuvent être incluses au moyen d'une
marque personnalisée [par exemple, un code à barres à deux dimensions (2D), une puce d'identification
par radiofréquence (RFID)] comprenant ou associée à une signature numérique, ou liée à un
enregistrement de données inaltérable (comme les solutions à blockchain, sans toutefois s'y limiter).
Du fait de leur inaltérabilité, les données sont protégées contre les modifications. Toute falsification
de données (y compris des informations concernant la source autorisée) peut être détectée par les
dispositifs de lecture.
Ces documents sécurisés numériquement qui contiennent des données protégées peuvent être
copiés, cependant toute modification peut être facilement détectée. Ainsi, chaque copie sécurisée
numériquement du document peut remplir la fonction de l'original.
Le nom ou la référence de l'émetteur du document est souvent inclus dans le sceau numérique, ce qui
permet au lecteur d'authentifier et de vérifier la légitimité de l'émetteur.
Ces éléments de sécurité numériques peuvent être combinés entre eux sur un même document, par
exemple il est possible d'inclure toute information concernant les données d'authentification de la
couche physique et des éléments générés numériquement cachés à l'intérieur du sceau numérique. Ces
données combinées peuvent être capturées, cryptées et stockées selon une technologie de registres
distribués ou associées à une signature numérique.
5.5 Élaboration d'une évaluation du risque
Il est possible d'utiliser un processus d'appréciation du risque de modèle en tant qu'outil représentatif
afin de fournir une notation indicative du risque basée sur la relation entre:
— les intentions et capacités d'un auteur de menace;
— les vulnérabilités d'un document et tous les facteurs issus de l'utilisation proposée;
— la vraisemblance d'une attaque;
— le degré d'impact ou de conséquences si une attaque se produit.
L'analyse de ces relations fournit une estimation du niveau de risque pour un résultat positif ou négatif.
La Figure 3 résume le processus d'évaluation des niveaux de risque.
Figure 3 — Évaluation des niveaux de risque
Il convient que l'entité de spécification détermine le niveau de résistance des éléments de sécurité pour
chacun des quatre modes d'attaque afin d'élaborer l'ensemble d'éléments de sécurité approprié pour la
classe de documents correspondante. La Figure 4 explique le processus qu'il convient d'utiliser pour
élaborer un ensemble d'éléments de sécurité approprié pour assurer une bonne protection du document
et bien adapté à la classe de documents.
Figure 4 — Processus de design de sécurité
Les notations de sécurité minimale recommandée (RMS) sont la résistance globale par mode d'attaque
pour les éléments de sécurité choisis, qu'il convient de mettre en œuvre dans un document donné. Il
convient que l'entité de spécification et le fabricant s'accordent entièrement sur les notations de RMS en
se référant aux résultats de l'évaluation du risque. Des exemples de choix d'éléments de sécurité et de
notation de RMS sont fournis dans l'Annexe B.
L'Annexe C fournit des exemples de critères d'évaluation des éléments de sécurité, le processus et les
indices par mode d'attaque pour chaque catégorie d'éléments de sécurité. Il convient que l'entité de
spécification utilise l'Annexe C comme référence pour l'évaluation des technologies émergentes qui ne
sont pas dans la liste ou des éléments qui présentent une résistance spéciale à certains types d'attaques.
La résistance fournie par les éléments de sécurité dépend de l'application de moyens de maîtrise visant
à réduire la vulnérabilité. Il convient que cette évaluation soit une évaluation qualitative issue d'une
estimation ou semi-quantitative issue d'essais sur le niveau de protection offert par les types de moyens
de maîtrise face aux attaques. Il convient de tenir compte de ces évaluations de sécurité ainsi que de la
vraisemblance et de l'impact d'une attaque selon un ou plusieurs modes d'attaque. Lorsque le moyen
de maîtrise fournit, seul ou en combinaison, une réduction du risque à un niveau acceptable, il convient
d'adopter le moyen de maîtrise. Voir les exemples donnés dans l'Annexe B.
5.6 Évaluation de la sécurité
En plus de l'entité de spécification, il convient que plusieurs parties ayant une expertise pertinente
en matière d'évaluation et d'analyse/jugement de la sécurité évaluent la conformité des DS terminés
(notamment les prototypes et les projets de design de sécurité) à divers critères de performance de
sécurité. Il convient que cette évaluation inclue des processus d'essais contradictoires basés sur les
ressources estimées pour la contrefaçon comme les heures-personnes, les équipements, les matériaux
et l'expertise en matière de contrefaçon pour divers types de fraude documentaire. Il convient de
partager les résultats avec les émetteurs, le cas échéant, afin d'élaborer la communication sur le risque.
Il convient que les considérations de sécurité incluent les éléments suivants:
— superposition des technologies: technique selon laquelle des éléments de sécurité individuels
peuvent intégrer une combinaison de dispositifs d'authentification d'investigation et contrôlables
avec ou sans outil;
— mise en œuvre complémentaire: utilisation de plusieurs technologies pour atteindre un degré de
réduction plus élevé qu'avec les technologies individuelles;
— méthodes multimodales: gaufrage, traitement laser, placage sous pression (par exemple, laminage,
transfert) et autres techniques, en plus de la production au moyen de techniques d'impression
fondées sur des encres et des plaques de diverses formes.
5.7 Réduction des risques liés au document
L'objet des spécifications de sécurité fondées sur le présent document est d'atténuer le risque de
contrefaçon des DS. Comme il est difficile de prévoir les types de fraudes documentaires émergents
qui peuvent réduire la fiabilité des DS, il convient que les entités de spécification prennent des mesures
appropriées guidées par leur analyse du risque, comme la mise à jour de leur élément de sécurité et le
renouvellement du design de sécurité du document.
Annexe A
(informative)
Appréciation du risque pour les documents de sécurité
A.1 Généralités
Lors de l'élaboration d'un DS ou d'un document physique, il convient que l'entité de spécification identifie
les risques associés en utilisant le cadre de risque de l'organisme (décrit dans la présente annexe pour
référence) et les facteurs d'attaque décrits dans le présent document pour déterminer la classe de
document, puis choisisse les traitements ou les moyens de maîtrise appropriés pour réduire le risque à
un niveau acceptable. La présente annexe fournit des recommandations pour l'application des méthodes
d'appréciation du risque et elle est issue du modèle de processus de l'ISO 31000, présenté en A.2 et
à la Figure A.1. Il convient que chaque élément du processus soit abordé efficacement pour gérer les
risques liés au document et il convient d'étendre la présentation donnée en A.2 au contexte spécifique
du document. Les exemples de matrices fournis dans la présente annexe ne sont pas directement liés à
l'appréciation élaborée dans le présent document et ils sont présentés à titre d'exemples de la méthode.
Il convient que certains de ces éléments, comme l'environnement opérationnel organisationnel, la
gestion et les actifs organisationnels, les critères de risque et la politique relative aux enregistrements,
fassent déjà partie du cadre de risque de l'entité de spécification et ne soient pas des éléments
spécifiques pour chaque document. En outre, ce que l'entité de spécification identifie dans son cadre de
risque ne reflète pas nécessairement les attentes ou les critères des clients, par exemple leur niveau de
tolérance et leur goût du risque.
Figure A.1 — Élément du processus de management du risque selon l'ISO 31000
A.2 Modèle de processus de l'ISO 31000
A.2.1 Généralités
La présentation du modèle de processus donnée dans l'ISO 31000 est la suivante:
— domaine d'application:
— applications de sécurité permettant d'atteindre les objectifs du document;
— gouvernance, politique et processus;
— contexte:
— environnement d'exploitation de l'organisme;
— gestion de l'organisme;
— actifs de l'organisme;
— validation des parties intéressées internes et externes;
— crit
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...